Esta página foi traduzida pela API Cloud Translation.

Configure políticas de ligação de serviços

Esta página descreve como um administrador de rede pode configurar as políticas de ligação de serviço para automatizar a conetividade privada a um serviço gerido.

Antes de começar

Certifique-se de que o serviço gerido que quer implementar suporta políticas de ligação de serviços.

Para mais informações sobre os serviços que suportam políticas de ligação de serviços, consulte os serviços suportados.
Tem de saber o nome da classe de serviço para a instância de serviço gerido para a qual quer implementar a conetividade.
Leia acerca dos pontos finais do Private Service Connect.
Precisa de uma rede de nuvem virtual privada (VPC) e uma sub-rede.
Tem de ativar a API Compute Engine no seu projeto.
Tem de ativar a API Network Connectivity no seu projeto.
Tem de ativar a API Service Consumer Management no projeto do consumidor no qual os pontos finais do Private Service Connect estão implementados. Esta API permite Google Cloud criar a conta de serviço de conetividade de rede que implementa pontos finais do Private Service Connect.

Funções necessárias

Para receber as autorizações de que precisa para configurar uma rede e criar uma política de ligação de serviço, peça ao seu administrador para lhe conceder a função Administrador de rede de computação (roles/compute.networkAdmin) do IAM no seu projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Para usar políticas de ligação de serviços com a VPC partilhada, as contas de serviço do Network Connectivity Center têm de ter funções atribuídas nos projetos de serviço e anfitrião. Estas contas de serviço são configuradas automaticamente quando é criada uma política de ligação de serviço, mas as funções podem ser removidas manualmente. Se vir erros sobre autorizações em falta, um administrador da conta de serviço pode ter de conceder as funções novamente. Para mais informações, consulte o artigo Configure contas de serviço para a VPC partilhada.

Crie uma política de ligação de serviço

Uma política de ligação de serviço permite-lhe autorizar a classe de serviço especificada a criar uma ligação do Private Service Connect entre as redes da VPC do produtor e do consumidor.

Pode criar um máximo de uma política para cada combinação de classe de serviço, região e rede VPC. Uma política determina a automatização da conetividade do serviço para essa combinação específica.

Quando configura uma política, seleciona uma ou mais sub-redes. Estas sub-redes são usadas para atribuir endereços IP aos pontos finais criados através da política. O tipo de pilha de uma sub-rede afeta a versão de IP possível dos pontos finais que pode implementar. Pode reutilizar a mesma sub-rede em várias políticas de ligação se as políticas partilharem a mesma região.

Por exemplo, se quiser usar a automatização da conetividade de serviços com dois serviços em três regiões diferentes, crie seis políticas. Pode usar um mínimo de três sub-redes, uma para cada região.

Depois de criar uma política de ligação de serviço, só pode atualizar as sub-redes, o limite de ligações e o âmbito da instância de serviço da política. Se precisar de atualizar outros campos, elimine a política e crie uma nova.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter recebido as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

networkconnectivity.serviceConnectionPolicies.create no projeto
compute.networks.get e compute.networks.use na rede da VPC
compute.subnetworks.get e compute.subnetworks.use em cada sub-rede

Funções

Administrador de rede de Calcular (roles/compute.networkAdmin)

Consola

Na Google Cloud consola, aceda à página Private Service Connect.

Aceda ao Private Service Connect
Clique no separador Políticas de ligação.
Clique em Criar política de ligação.
Introduza um Nome para a política de associação.
Especifique a classe de serviço.
- Para os serviços Google, faça o seguinte:
  1. Para Detalhes do serviço, selecione Serviços Google.
  2. Selecione a classe de serviço no menu Classe de serviço.
- Para serviços de terceiros, faça o seguinte:
  1. Em Detalhes do serviço, selecione Serviço de terceiros.
  2. Em Classe de serviço, introduza o nome da classe de serviço.
Na secção Âmbito dos pontos finais, selecione uma Rede e uma Região às quais esta política se aplica.
Na secção Configuração dos pontos finais, selecione uma ou mais sub-redes no menu Sub-redes. As sub-redes são usadas para atribuir endereços IP para pontos finais.
Opcional: especifique um limite de associações para a política. O limite determina quantos pontos finais podem ser criados através desta política de ligação. Se for omitido, não existe limite.
Por predefinição, os pontos finais são criados para instâncias de serviço que estão no mesmo projeto que a política de ligação. Se selecionou um serviço Google suportado, pode configurar a política de ligação para permitir a ligação a instâncias de serviço que se encontram numa parte diferente da hierarquia do Resource Manager.

Para selecionar diferentes nós do Resource Manager, faça o seguinte:
1. Selecione Âmbito da instância de serviço personalizado.
2. Escolha as organizações, as pastas e os projetos que contêm instâncias de serviço às quais quer estabelecer ligação.
Clique em Criar política.

gcloud

Use o comando service-connection-policies create.

gcloud network-connectivity service-connection-policies create POLICY_NAME \
    --network=NETWORK \
    --project=PROJECT_ID \
    --region=REGION \
    --service-class=SERVICE_CLASS \
    --subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
    --psc-connection-limit=LIMIT \
    --description=DESCRIPTION \
    --producer-instance-location=SERVICE_INSTANCE_SCOPE \
    --allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES

Substitua o seguinte:

POLICY_NAME: o nome da política de ligação de serviços.
NETWORK: a rede à qual aplicar esta política.
PROJECT_ID: o ID ou o número do projeto do projeto da rede VPC. Para redes de VPC partilhada, as políticas de ligação de serviço têm de ser implementadas no projeto anfitrião e não são suportadas em projetos de serviço.
REGION: a região à qual esta política se aplica. A mesma política tem de existir para todas as regiões nas quais quer automatizar a conetividade dos serviços.
SERVICE_CLASS: o identificador do recurso fornecido pelo produtor da classe de serviço.
SUBNETS: uma ou mais sub-redes de consumidor normais que são usadas para atribuir endereços IP para pontos finais do Private Service Connect. As sub-redes têm de estar na mesma região que a política de ligação de serviço. Pode reutilizar a mesma sub-rede em várias políticas de ligação se as políticas partilharem a mesma região. Pode introduzir várias sub-redes numa lista separada por vírgulas.
LIMIT: o número máximo de pontos finais que podem ser criados através desta política. Se não for especificado, não existe limite.
DESCRIPTION: uma descrição opcional da política de associação de serviços.
SERVICE_INSTANCE_SCOPE: para serviços geridos pela Google suportados, especifica se esta política automatiza as ligações a instâncias de serviço que se encontram em localizações personalizadas do Resource Manager. Se estiver definido como none, são criados pontos finais que se ligam a instâncias de serviço que estão no mesmo projeto que a política de ligação de serviço (ou, no caso da VPC partilhada, em projetos ligados). O valor predefinido é none. Se estiver definido como custom-resource-hierarchy-levels, especifica as localizações personalizadas através da flag --allowed-google-producers-resource-hierarchy-level.
LIST_OF_NODES: para serviços geridos pela Google suportados, especifica uma lista de nós do Resource Manager (projetos, pastas e organizações) que contêm as instâncias de serviço às quais quer estabelecer ligação. Este campo é verificado apenas quando o sinalizador --producer-instance-location está definido como custom-resource-hierarchy-levels. A lista pode conter qualquer combinação de projetos, pastas e organizações. Para ver uma lista de exemplos, consulte o seguinte:
```
"projects/1111111111",
"folders/2222222222",
"folders/3333333333",
"organizations/4444444444"
```

Por exemplo, o comando seguinte cria uma política de ligação de serviço para a classe de serviço google-cloud-sql publicada pela Google. A política pode ser usada para automatizar a conetividade a instâncias de serviço implementadas no shared-db-service-project. Os pontos finais do Private Service Connect criados através desta política têm endereços IP atribuídos a partir da sub-rede endpoint-subnet. É possível criar um máximo de 10 pontos finais através desta política.

gcloud network-connectivity service-connection-policies create google-cloud-sql-policy \
    --network=default \
    --project=my-project \
    --region=us-central1 \
    --service-class=google-cloud-sql \
    --subnets=endpoint-subnet \
    --psc-connection-limit=10 \
    --producer-instance-location=custom-resource-hierarchy-levels \
    --allowed-producer-instance-scope=projects/shared-db-service-project

Terraform

Pode usar o recurso Terraform para criar uma política de associação de serviços.

# Create a VPC network
resource "google_compute_network" "default" {
  name                    = "consumer-network"
  auto_create_subnetworks = false
}

# Create a subnetwork
resource "google_compute_subnetwork" "default" {
  name          = "consumer-subnet"
  ip_cidr_range = "10.0.0.0/16"
  region        = "us-central1"
  network       = google_compute_network.default.id
}

# Create a service connection policy
resource "google_network_connectivity_service_connection_policy" "default" {
  name          = "service-connection-policy"
  location      = "us-central1"
  service_class = "gcp-memorystore-redis"
  network       = google_compute_network.default.id
  psc_config {
    subnetworks = [google_compute_subnetwork.default.id]
    limit       = 2
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform.

API

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

PROJECT_ID: o ID do seu projeto.
REGION: a região da política de ligação do seu serviço.
POLICY_NAME: o nome da política de ligação do seu serviço.
DESCRIPTION: uma descrição opcional da sua política de associação de serviços.
NETWORK: a rede da política de ligação do seu serviço.
LIMIT: o número máximo de pontos finais que podem ser criados através desta política. Se não for especificado, não existe limite.
SUBNET: uma ou mais sub-redes de consumidor normais que são usadas para atribuir endereços IP para pontos finais do Private Service Connect. As sub-redes têm de estar na mesma região que a política de ligação de serviços. Pode reutilizar a mesma sub-rede em várias políticas de associação se as políticas partilharem a mesma região. Pode introduzir vários URIs de sub-rede numa lista separada por vírgulas.
SERVICE_CLASS: o identificador de recurso fornecido pelo produtor da classe de serviço.
PRODUCER_INSTANCE_LOCATION: PRODUCER_INSTANCE_LOCATION_UNSPECIFIED (predefinição) ou CUSTOM_RESOURCE_HIERARCHY_LEVELS.
LIST_OF_NODES: uma lista de nós do Resource Manager (projetos, pastas e organizações) que contêm as instâncias de serviço às quais quer estabelecer ligação. Este campo só é verificado quando a flag PRODUCER_INSTANCE_LOCATION está definida como CUSTOM_RESOURCE_HIERARCHY_LEVELS. A lista pode conter qualquer combinação de projetos, pastas e organizações. Para ver uma lista de exemplos, consulte o seguinte:
```
    "projects/1111111111",
    "folders/2222222222",
    "folders/3333333333",
    "organizations/4444444444"
    
```

Método HTTP e URL:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME

Corpo JSON do pedido:

{
  "description": "DESCRIPTION",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
    "producerInstanceLocation": "CUSTOM_RESOURCE_HIERARCHY_LEVELS",
    "allowedGoogleProducersResourceHierarchyLevel": [
      LIST_OF_NODES
    ]
  },
  "serviceClass": "SERVICE_CLASS"
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Liste as políticas de ligação de serviços

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter recebido as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

networkconnectivity.serviceConnectionPolicies.list

Funções

Administrador de rede de Calcular (roles/compute.networkAdmin)

Consola

Na Google Cloud consola, aceda à página Private Service Connect.

Aceda ao Private Service Connect
Clique no separador Políticas de ligação.
São apresentadas as políticas de ligação.

gcloud

Use o comando service-connection-policies list.

gcloud network-connectivity service-connection-policies list \
    --region=REGION

Substitua REGION pela região na qual quer listar as políticas de ligação de serviços.

API

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

PROJECT_ID: o ID do seu projeto.
REGION: a região onde listar as políticas de ligação de serviços.

Método HTTP e URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "serviceConnectionPolicies": [
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-1",
      "createTime": "2023-08-15T15:33:54.712819865Z",
      "updateTime": "2023-08-15T15:33:54.945630882Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/network-two",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-west1/subnetworks/us-west1-subnet"
        ],
        "limit": "12"
      },
      "etag": "zCqDFBG1dS7B4gNdJKPR98YMUXpSrBIz0tZB_hwOIZI"
    },
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-2",
      "createTime": "2023-08-15T16:59:29.230257109Z",
      "updateTime": "2023-08-15T16:59:29.508994923Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/custom-test",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-central1/subnetworks/subnet-one"
        ],
        "limit": "25"
      },
      "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
    }
  ]
}

Descreva uma política de ligação de serviços

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter recebido as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

networkconnectivity.serviceConnectionPolicies.get

Funções

Administrador de rede de Calcular (roles/compute.networkAdmin)

Consola

Na Google Cloud consola, aceda à página Private Service Connect.

Aceda ao Private Service Connect
Clique no separador Políticas de ligação.
Clique na política de ligação de serviço que quer ver.

gcloud

Use o comando service-connection-policies describe.

gcloud network-connectivity service-connection-policies describe POLICY_NAME \
    --region=REGION

Substitua o seguinte:

POLICY_NAME: o nome da política de associação de serviços que quer descrever.
REGION: a região da política de ligação de serviços que quer descrever.

API

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

PROJECT_ID: o ID do seu projeto.
REGION: a região da sua política de associação de serviços.
POLICY_NAME: o nome da política de ligação de serviço a descrever.

Método HTTP e URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
  "createTime": "2023-08-15T16:59:29.230257109Z",
  "updateTime": "2023-08-15T16:59:29.508994923Z",
  "description": "description",
  "network": "projects/project-id/global/networks/custom-test",
  "serviceClass": "gcp-memorystore-redis",
  "infrastructure": "PSC",
  "pscConfig": {
    "subnetworks": [
      "projects/project-id/regions/us-central1/subnetworks/subnet-one"
    ],
    "limit": "25"
  },
  "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
}

Atualize uma política de ligação de serviço

Pode atualizar as sub-redes, o limite de ligações e o âmbito da instância de serviço para uma política de ligação de serviço.

Se remover uma sub-rede da política de ligação de serviço, aplica-se o seguinte:

Os pontos finais do Private Service Connect existentes não são afetados.
Os novos pontos finais não usam a sub-rede removida.

Se atualizar o limite de ligações de uma política de ligação de serviço, aplica-se o seguinte:

Os pontos finais existentes não são afetados.
Se o novo limite de associações for inferior ao número existente de pontos finais associados à política, a automatização da conetividade do serviço bloqueia a criação de novos pontos finais que usam esta política.
Se o novo limite de ligações for superior ao número existente de pontos finais associados à política, podem ser criados pontos finais que foram bloqueados anteriormente pelo limite de ligações.

Se atualizar uma política de ligação de serviço e não especificar um limite de ligações, a política atualizada não tem limite de ligações.

Se atualizar o âmbito da instância do serviço para uma política de ligação do serviço, os pontos finais existentes não são afetados.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter recebido as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

networkconnectivity.serviceConnectionPolicies.update no projeto
compute.subnetworks.get e compute.subnetworks.use em cada sub-rede

Funções

Administrador de rede de Calcular (roles/compute.networkAdmin)

Consola

Na Google Cloud consola, aceda à página Private Service Connect.

Aceda ao Private Service Connect
Clique no separador Políticas de ligação.
Clique na política de ligação de serviço que quer editar.
Clique em Edit.
Faça as atualizações à política de associação de serviços.
Clique em Atualizar política.

gcloud

Use o comando service-connection-policies update.

gcloud network-connectivity service-connection-policies update POLICY_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --subnets=SUBNETS \
    --psc-connection-limit=LIMIT
    --producer-instance-location=SERVICE_INSTANCE_SCOPE \
    --allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES

POLICY_NAME: o nome da política de ligação de serviços.
REGION: a região da política de ligação ao serviço. Não pode atualizar a região de uma política.
PROJECT_ID: o ID ou o número do projeto da política.
SUBNETS: uma ou mais sub-redes de consumidor normais que são usadas para atribuir endereços IP para pontos finais do Private Service Connect. As sub-redes têm de estar na mesma região que a política de ligação de serviço. Pode reutilizar a mesma sub-rede em várias políticas de ligação se as políticas partilharem a mesma região. Pode introduzir várias sub-redes numa lista separada por vírgulas.
LIMIT: o número máximo de pontos finais que podem ser criados através desta política. Se não for especificado, não existe limite.
SERVICE_INSTANCE_SCOPE: para serviços geridos pela Google suportados, especifica se esta política automatiza as ligações a instâncias de serviço que se encontram em localizações personalizadas do Resource Manager. Se estiver definido como none, são criados pontos finais que se ligam a instâncias de serviço que estão no mesmo projeto que a política de ligação de serviço (ou, no caso da VPC partilhada, em projetos ligados). Este é o valor predefinido. Se estiver definido como custom-resource-hierarchy-levels, especifica as localizações personalizadas através da flag --allowed-google-producers-resource-hierarchy-level.
LIST_OF_NODES: para serviços geridos pela Google suportados, especifica uma lista de nós do Resource Manager (projetos, pastas e organizações) que contêm as instâncias de serviço às quais quer estabelecer ligação. Este campo é verificado apenas quando o sinalizador --producer-instance-location está definido como custom-resource-hierarchy-levels. A lista pode conter qualquer combinação de projetos, pastas e organizações. Para ver uma lista de exemplos, consulte o seguinte:
```
"projects/1111111111",
"folders/2222222222",
"folders/3333333333",
"organizations/4444444444"
```

API

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

PROJECT_ID: o ID do seu projeto.
REGION: a região da sua política de associação de serviços. Não pode atualizar a região de uma política.
POLICY_NAME: o nome da sua política de associação de serviços.
LIMIT: o número máximo de pontos finais que podem ser criados através desta política. Se não for especificado, não existe limite.
SUBNET: uma ou mais sub-redes de consumidor normais que são usadas para atribuir endereços IP para pontos finais do Private Service Connect. As sub-redes têm de estar na mesma região que a política de ligação de serviços. Pode reutilizar a mesma sub-rede em várias políticas de ligação se as políticas partilharem a mesma região. Pode introduzir vários URIs de sub-rede numa lista separada por vírgulas.
NETWORK: a rede da política de associação de serviços.

Método HTTP e URL:

PATCH https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Corpo JSON do pedido:

{
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK"
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Elimine uma política de ligação de serviço

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de ter recebido as seguintes autorizações ou uma das seguintes funções de IAM.

Autorizações

networkconnectivity.serviceConnectionPolicies.delete

Funções

Administrador de rede de Calcular (roles/compute.networkAdmin)

Pode eliminar uma política de ligação de serviços se tiver terminado de usar o serviço ou quiser parar de automatizar a conetividade. A eliminação da política é bloqueada se existirem ligações ativas do Private Service Connect associadas à política. Antes de eliminar uma política de ligação de serviço, elimine todas as ligações ativas desativando todas as instâncias de serviço associadas.

Consola

Na Google Cloud consola, aceda à página Private Service Connect.

Aceda ao Private Service Connect
Clique no separador Políticas de ligação.
Selecione as políticas de ligação de serviços que quer eliminar e, de seguida, clique em Eliminar.

gcloud

Use o comando service-connection-policies delete.

gcloud network-connectivity service-connection-policies delete POLICY_NAME \
    --region=REGION

Substitua o seguinte:

POLICY_NAME: o nome da política de associação de serviços que quer eliminar.
REGION: a região da política de ligação de serviço que quer eliminar.

API

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

PROJECT_ID: o ID do seu projeto.
REGION: a região da sua política de associação de serviços.
POLICY_NAME: o nome da política de ligação de serviço a eliminar.

Método HTTP e URL:

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692128792549-602fb6f98194a-e0275435-36edc095",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T19:46:32.605032867Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Configure contas de serviço para a VPC partilhada

As contas de serviço são configuradas automaticamente quando usa políticas de ligação de serviço com a VPC partilhada, mas as funções podem ser removidas manualmente. Se vir erros sobre autorizações em falta, experimente conceder as funções novamente.

Para conceder as funções necessárias, um administrador da conta de serviço pode fazer o seguinte.

Conceda funções à conta de serviço no projeto de serviço

gcloud

Conceda a função de agente do serviço de conetividade de rede (roles/networkconnectivity.serviceAgent) à conta de serviço do serviço de conetividade de rede do projeto de serviço. Conceda a função no projeto de serviço.
```
gcloud projects add-iam-policy-binding SERVICE_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent
```
Substitua SERVICE_PROJECT_NUMBER pelo número do projeto do projeto de serviço.
Conceda a função de utilizador da rede de computação (roles/compute.networkUser) à conta de serviço de conectividade de rede do projeto de serviço. Realize um dos seguintes passos.
- Conceda a função no projeto anfitrião.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser
```
  Substitua HOST_PROJECT_NUMBER pelo número do projeto de alojamento.
- Conceda a função em cada uma das sub-redes no projeto anfitrião que estão associadas à política de ligação de serviço. Use o seguinte comando para cada sub-rede.
```
gcloud compute networks subnets add-iam-policy-binding SUBNET \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser \
    --region=REGION \
    --project=HOST_PROJECT_NUMBER
```
  Substitua o seguinte:
  - SUBNET: o nome da sub-rede associada à sua política de ligação de serviços.
  - REGION: a região da sub-rede.

Conceda a função à conta de serviço no projeto anfitrião

gcloud

Conceda a função de agente do serviço de conetividade de rede (roles/networkconnectivity.serviceAgent) à conta de serviço do serviço de conetividade de rede do projeto anfitrião. Conceda a função no projeto anfitrião.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent
```
Substitua HOST_PROJECT_NUMBER pelo número do projeto de alojamento.

O que se segue?

Implemente uma instância de serviço gerida através de políticas de ligação de serviços